Gestión de acceso mediante shell seguro en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Cómo administrar ZFS con shell seguro de forma remota

De manera predeterminada, el rol root no puede iniciar sesión de forma remota con Shell seguro. Históricamente, la raíz ha utilizado Shell seguro para las tareas importantes, como el envío de datos agrupados de ZFS para su almacenamiento en un sistema remoto. En este procedimiento, el rol root crea un usuario que puede actuar como administrador remoto de ZFS.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Cree el usuario en ambos sistemas.

    Por ejemplo, cree el usuario zfsroot y proporcione una contraseña.

    source # useradd -c "Remote ZFS Administrator" -u 1201 -d /home/zfsroot zfsroot
source # passwd zfsroot
Enter password:
Retype password:
#
    dest # useradd -c "Remote ZFS Administrator" -u 1201 -d /home/zfsroot zfsroot
dest # passwd zfsroot
...

    El usuario zfsroot debe estar definido de idéntica manera en ambos sistemas.

  2. Cree el par de claves del usuario para la autenticación de Shell seguro.

    El par de claves se crea en el sistema de origen. A continuación, la clave pública se copia al usuario zfsroot en el sistema de destino.

    1. Genere el par de claves y colóquelo en el archivo id_migrate. 
      # ssh-keygen -t rsa -P "" -f ~/id_migrate
Generating public/private rsa key pair.
Your identification has been saved in /root/id_migrate.
Your public key has been saved in /root/id_migrate.pub.
The key fingerprint is:
3c:7f:40:ef:ec:63:95:b9:23:a2:72:d5:ea:d1:61:f0 root@source
    2. Envíe la parte pública del par de claves al sistema de destino. 
      # scp ~/id_migrate.pub zfsroot@dest:
The authenticity of host 'dest (10.134.76.126)' can't be established.
RSA key fingerprint is 44:37:ab:4e:b7:2f:2f:b8:5f:98:9d:e9:ed:6d:46:80.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'dest,10.134.76.126' (RSA) to the list of known hosts.
Password:
id_migrate.pub 100% |*****************************| 399 00:00
  3. En ambos sistemas, asigne el perfil de derechos de administración de archivos ZFS a zfsroot. 
    source # usermod -P +'ZFS File System Management' -S files zfsroot
dest # usermod -P +'ZFS File System Management' -S files zfsroot
  4. Verifique que el sistema de destino tiene asignado el perfil de derechos. 
    dest # profiles zfsroot
zfsroot:
ZFS File System Management
Basic Solaris User
All
  5. En el sistema de destino, mueva la parte pública del par de claves al directorio privado /home/zfsroot/.ssh. 
    root@dest # su - zfsroot
Oracle Corporation      SunOS 5.11      11.1    May 2012
zfsroot@dest $ mkdir -m 700 .ssh
zfsroot@dest $ cat id_migrate.pub >> .ssh/authorized_keys
  6. Verifique que la configuración funciona. 
    root@source# ssh -l zfsroot -i ~/id_migrate dest \
pfexec /usr/sbin/zfs snapshot zones@test
root@source# ssh -l zfsroot -i ~/id_migrate dest \
pfexec /usr/sbin/zfs destroy zones@test
  7. (Opcional) Verifique que puede crear una instantánea y replicar los datos. 
    root@source# zfs snapshot -r rpool/zones@migrate-all
root@source#  zfs send -rc rpool/zones@migrate-all | \
ssh -l zfsroot -i ~/id_migrate dest pfexec /usr/sbin/zfs recv -F zones
  8. (Opcional) Elimine la capacidad de utilizar la cuenta zfsroot para la administración de ZFS. 
    root@dest# usermod -P -'ZFS File System Management' zfsroot
root@dest#  su - zfsroot
zfsroot@dest#  cp .ssh/authorized_keys .ssh/authorized_keys.bak
zfsroot@dest#  grep -v root@source .ssh/authorized_keys.bak> .ssh/authorized_keys
Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente